Datenschutz und ISO 27001: Zusammenhänge und Detailgrad

„Diese Europäische Norm muss den Status einer nationalen Norm erhalten […]“ – so verkündet es das Europäische Vorwort zur DIN EN ISO/IEC 27001:2024-01. Sie ist praktisch auf der ganzen Welt bekannt und anerkannt. Doch wie spezifisch sind die Vorgaben, wenn es um technische Details geht und welche Zusammenhänge, Gemeinsamkeiten und Unterschiede bestehen zu anderen DIN-Normen und zur DSGVO? Warum die Norm bewusst generisch bleibt und welche Spielräume sie Unternehmen und Organisationen bei der Umsetzung datenschutzrechtlicher Maßnahmen lässt, zeigt dieser Artikel.

Was regelt die ISO 27001?

Die DIN EN ISO/IEC 27001 legt Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) fest und umfasst dabei auch Vorgaben zum Datenschutz sowie zur Informations- und Cybersicherheit. Das übergeordnete Ziel eines ISMS besteht in der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen (VVI). Eine Zertifizierung kann sich dabei auch auf einzelne Teilbereiche beziehen, vorausgesetzt, ein qualifizierter Informationssicherheitsbeauftragter (ISB) ist vorhanden.

Wie sehen die Vorgaben aus?

Die Norm selbst enthält nur Vorgaben, die auf einem allgemeinen Niveau gehalten sind, d. h., ohne spezifische technische Details oder konkrete Standards wie z. B. bestimmte Verschlüsselungsalgorithmen wie AES (Advanced Encryption Standard) oder RSA (Rivest-Shamir-Adleman) zu benennen. Sie ist also sehr generisch aufgebaut. Sie beschreibt, was erreicht werden soll und überlässt es der Organisation, wie dies umzusetzen ist.

Beispiel: Zum Thema „Verschlüsselung“ gibt es keine Vorgaben.

Die ISO 27001 enthält in ihrem Anhang A.1 – Informationssicherheitsmaßnahmen, Anforderungen an die Ausgestaltung der eigenen Prozesse. Dort werden allgemeine Anforderungen an die Implementierung von Kryptografie aufgestellt:

So heißt es unter 8.24: Verwendung von Kryptographie:

„Es müssen Regeln für den wirksamen Einsatz von Kryptographie, einschließlich der Verwaltung kryptographischer Schlüssel, festgelegt und umgesetzt werden.“

Dies bedeutet, dass Organisationen selbst definieren müssen, welche Daten verschlüsselt werden und welche Verfahren geeignet sind.

Bezug zu anderen DIN Normen

Die ISO 27001 bezieht sich auch auf die ISO 27000, welche einen Überblick über den Aufbau der Norm sowie organisatorische Aspekte und die verwendete Terminologie bietet. Sie bestimmt somit das Umfeld, in dem sich Organisationen bewegen.

Darüber hinaus verweist sie auf die ISO 27002, die als Leitfaden für Informationssicherheitsmaßnahmen dient. Sie wird häufig als Nachschlagewerk für Begriffe und Formulierungen genutzt, die in der ISO 27001 verwendet werden.

Zusätzlich gibt es Konkretisierungen und Ergänzungen der ISO 27001, darunter:

• die ISO 27011, die spezifische Informationssicherheitsmaßnahmen für Telekommunikationsorganisationen definiert,
• die ISO 27018, welche den Schutz personenbezogener Daten in öffentlichen Cloud-Diensten im Rahmen der Auftragsdatenverarbeitung regelt,
• die ISO 27019, die sich mit ISMS von Steuerungssystemen in der Energieversorgung und damit im Bereich kritischer Infrastrukturen (KRITIS) beschäftigt,
• sowie die ISO 27701, die als Privacy Information Management System (PIMS) eine Schnittstelle zur DSGVO darstellt.

Gemeinsamkeiten und Unterschiede der DSGVO zur ISO 27001 und 27701

Die DSGVO, die ISO 27001 und die ISO 27701 haben alle Schnittstellen im Bereich des Schutzes von Daten, unterscheiden sich jedoch in ihren Schwerpunkten und Anforderungen.

Gemeinsamkeiten:

Die DSGVO legt besonderen Wert auf die Vertraulichkeit, Integrität und Verfügbarkeit (VVI) von personenbezogenen Daten und schreibt die Benennung eines DSB vor. Im Vergleich dazu fokussiert sich die ISO 27001 zwar ebenfalls auf die VVI, allerdings im Rahmen eines umfassenderen ISMS, das von einem ISB betreut wird. Dieser Ansatz wird durch die ISO 27701 erweitert, indem sie die Vertraulichkeit, den Schutz, die Integrität und Verfügbarkeit von Daten in einem PIMS integriert und so eine Verbindung zur DSGVO herstellt.

Unterschiede:

In den Details zeigen sich weitere Unterschiede: Die DSGVO fordert die Einführung technischer und organisatorischer Maßnahmen (TOM) zur Sicherung personenbezogener Daten, während die ISO 27001 allgemeine Prozesse und Maßnahmen beschreibt, die den TOM zwar ähneln, jedoch auch die Sicherung anderer Unternehmenswerte wie Patente und Informationen umfassen. Die DSGVO betrachtet Risiken aus der Perspektive der Betroffenen, während die ISO 27001 die Risiken aus Unternehmenssicht bewertet. Zudem sieht die DSGVO eine Meldepflicht bei Datenschutzvorfällen gegenüber Aufsichtsbehörden vor, wohingegen die ISO 27001 auf ein internes Incident Management setzt.

Die ISO 27701 ergänzt diese Ansätze durch spezifische Vorgaben für die Verarbeitung personenbezogener Daten. Sie enthält in Annex A Kontrollmaßnahmen für Datenverantwortliche und in Annex B Kontrollmaßnahmen für Datenverarbeiter, wodurch sie sowohl die Anforderungen der DSGVO als auch die Sicherheitsaspekte der ISO 27001 erweitert.

Die ISO 27001 als solider Ausgangspunkt

Die Norm bietet eine stabile Grundlage für das Informationssicherheitsmanagement, lässt durch ihre generische Ausgestaltung jedoch Spielräume, die je nach Einzelfall abgewogen werden müssen. Ergänzt durch weitere Normen wie die ISO 27701 oder durch gesetzliche Vorgaben wie die DSGVO kann ein umfassender Schutz von Informationen und personenbezogenen Daten gewährleistet werden.